È sicuro aggiungere ulteriori attestazioni di ruolo all'identità di asp.net?

3

Sto utilizzando il provider di autenticazione di Azure AD per l'applicazione Web asp.net e desidero aggiungere ulteriori attestazioni di ruolo (in base alla logica dell'applicazione personalizzata, quelle non possono essere fornite da Azure AD).

Qualcosa come descritto qui:

link

Sto usando il seguente codice in startup.cs :

services.Configure<OpenIdConnectOptions>(AzureADDefaults.OpenIdScheme, options =>
{
    options.Events = new OpenIdConnectEvents
    {
        OnTokenValidated = context => SetupExtraRoles(context.Principal)
    };
});

static Task SetupExtraRoles(ClaimsPrincipal principal)
{
    IEnumerable<Claim> extraRoles = GenerateExtraRoleClaims();
    ClaimsIdentity extraIdentity = new ClaimsIdentity(roleClaims);
    principal.AddIdentity(extraIdentity);
    return Task.CompletedTask;
}

Funziona bene - quando l'utente è connesso e il token è ricevuto, l'identità viene estesa con le rivendicazioni extra del ruolo.

Inoltre, ho notato che in seguito ricevo richieste di ruolo extra ogni volta che l'utente richiede altre pagine o aggiorna la pagina corrente, il che è anche ottimo.

Quindi la mia domanda è: dove sono archiviate le richieste di identità degli utenti in seguito, tra le richieste - Cookie? Memoria del server? Sessione?

L'utente può manomettere queste attestazioni di identità se sono memorizzate in Cookie ed elevare le autorizzazioni inserendo manualmente le attestazioni di ruolo?

    
posta Dusan 09.12.2018 - 14:31
fonte

1 risposta

0

Le attestazioni di identità sono memorizzate in cookie, che vengono quindi crittografati. Mentre suppongo vi sia la possibilità che i cookie possano essere manomessi per alterare il reclamo, penso che sia improbabile. Tuttavia, anche se ciò dovesse accadere, la richiesta viene presentata al server per la convalida e, se la richiesta dell'utente non è valida, verrà respinta. Ciò impedirà l'accesso alla risorsa con restrizioni. Ricorda che un'affermazione è esattamente ciò che sembra: la rivendicazione di un utente. Senza convalidare questa richiesta, non ci sarebbe sicurezza. Di seguito sono riportati ulteriori collegamenti alle informazioni che potrebbero essere utili per la tua ricerca:

link

link

    
risposta data 10.01.2019 - 16:09
fonte

Leggi altre domande sui tag